• 晶片資安第一站

深度專題

供應鏈新危機》晶片與電路隱藏的後門風險正逐漸籠罩

2022-06-24

長期以來有個不斷重複提出的強勁趨勢:供應鏈是網路駭客的理想目標。 歐盟網路暨資訊安全局(ENISA)在2021年7月指出,供應鏈攻擊應會在 2020 年到 2021 年間增加四倍。根據該機構聲稱,這些供應鏈攻擊之中有 66% 將針對目標供應商的產品代碼,例如 Solarwinds。這些攻擊者透過導入後門程式,以方便在下一階段進行滲透,進而使用這些產品的用戶資訊系統,取得個人身份資訊等,尤其像是大企業、政府、軍隊與關鍵運營商等都是駭客最愛。 這表明組織應在使用第三方程式和軟體之前,將精力集中在驗證其安全性,以確保它們不會被篡改或操縱。 如今半導體供應鏈的緊張局勢 ,除了缺貨短料外,駭客對供應鏈的...

Read More

ISO / SAE 21434: 確保現代載具硬體開發的安全性標準

2022-02-24

要想證明車輛資安為何重要性的話,沒有什麼比 Charlie Miller 和 Chris Valasek 成功駭入吉普車並一路將它開到渠溝裡更令人印象深刻的了。(編按:兩人於 2015 年黑帽大會中遠端騎劫 Jeep Grand Cherokee 系統,贏得「吉普車駭客」的稱號)而隨著現代載具越來越自動化,一連串針對汽車產業不斷演化的威脅地景的討論油然而生。 平均來說,每台汽車包含了超過 150 個電子控制器,而有辦法進入最終設計的攻擊介面以及產生潛漏洞的機率持續增加。隨著汽車產業從垂直的硬體驅動平台,逐漸轉為水平的軟體定義平台,確保製造商跟供應商對其零件跟設計有著強大的網路安全措施以及數據隱...

Read More

網路安全和半導體:他們的關聯性為何?

2022-02-21

我們的日常生活已經離不開電子設備,甚至有人必須靠它們才能夠維繫生命。這些設備,例如你的手機或是筆電,只有在其內部晶片完好且沒有任何缺失的狀況下,才能運行無礙。一旦晶片出現問題,它就會開始破壞設備的整體完整性。 多年來,半導體晶片開始融入其他形式的技術,這樣的作法有助於影響半導體的設計方向和其工作方式。這些改變透過各式各樣的方式為消費者帶來巨大的利益;同時,它也為駭客製造許多機會,讓他們可以利用這些漏洞來實行犯罪。話雖如此,即使網路罪犯可以在電腦系統植入病毒,但在物聯網的世界裡,網路連結與之前相比已變得更先進且更安全。 安全的硬體基礎讓物聯網安全性超群絕倫 對於單晶片系統的設計師來說,物聯網應用...

Read More

駭客的惡夢:可變式電腦處理器 Morpheus

2022-02-21

處理器是主責軟體運行的核心零件,對所有軟體系統有著強大的影響力。所以一個安全的處理器有能力保護任何在其上運行的軟體,避免它們遭受攻擊。那麼,你有沒有想像過一種電腦處理器,它可以隨機更改基礎結構來阻擋駭客入侵? 不,它已經不是想像了。 2020 年的夏天,525 位資安專家花了三個月的時間,試圖像是破解其他處理器一樣地駭進 Morpheus 處理器。正如 Morpheus 之名 ─ 這詞來自於以在夢中有各種化身著名的希臘夢神 ─ 他們的嘗試全部因為 Morpheus 捉摸不定的結構而落空了。 關於 Morpheus 的研究是由美國國防高級研究計劃局(DARPA)所贊助的計劃其中一部分,目的是為了...

Read More

共存機制:無線晶片裡頭尚待開採的安全漏洞金礦

2022-01-06

晶片安全漏洞永遠會從研發人員想不到的角度出現;更糟的是,它們一旦從設計圖變成產品,一切就難以彌補。如今,資安學者們又挖掘出一個過去少有深入研究的漏洞所在;未來,我們會發現更多相關的問題嗎? 達姆施塔特工業大學跟布雷西亞大學的學者聯手發表論文,指出有新攻擊技術能夠利用設備的藍牙元件直接獲得網路密碼,並控制 Wi-Fi 晶片上的流量。這種新型攻擊的目標主要是俗稱「組合晶片(combo chips)」─ 專門用來處理無線通訊上不同類型電波(像是 Wi-Fi,藍牙跟 LTE)的特殊晶片。 論文中寫道,「證據顯示,共存(coexistence) ─ 就是跨類型無線傳輸協調技術 ─ 是個尚未被開發的攻擊介...

Read More

晶片安全:網路安全的未來基石

2021-12-24

全世界正站在網路安全發展的十字路口。頻傳的網路事件使得基礎建設進度停滯不前;重要數據遭竊,以及針對政府、企業,甚至是醫院的勒索攻擊變得稀鬆平常。網路攻擊事件不但數量直線攀升,而且也造成社會跟經濟的重大損失。 自 2017 年 Arm 安全宣言首次發布以來,科技公司已開始攜手合作,從晶片到系統全面加強安全性。然而,科技因素只是應變措施的其中一環;法律與制度同樣扮演了重要的角色。但在跨領域的努力跟合作上,我們需要再多下一倍的功夫。 幸運的是,我們正處於最好的時機。地緣政治紛爭,對區域供應鏈集中度的關切,以及全球半導體短缺,讓全球大眾把意識集中到一項他們不怎麼熟悉的科技:晶片。趁著全球生產鏈休眠的時...

Read More

當晶片也能夠防駭,它有辦法結束資安戰爭嗎?

2021-12-16

今時今日,網路犯罪對於各行各業來說是個真實存在且相當危險的威脅,但仍有許多企業並沒有採取應有的措施來保護自己,最終導致自己成為網路攻擊的受害者。 根據科技公司 Beaming 的研究,以英國企業來說,光是在 2019 年第三季,每個企業平均就曾遭受過 157,528 次攻擊;換算下來的話約是每 49 秒就遭受一次攻擊。而這數據跟前一年同期相比,成長了 243%。 對許多企業或是個人來說,沒有完善保護措施的設備是造成駭客攻擊的主因。為了解決這個問題,英國政府 2020 年與晶片供應商 Arm 合作,提出了一個五年 3,600 萬英鎊的研究計畫;該計畫的重點項目是研究新的抗駭晶片技術。然而,英國商...

Read More

在著手修復漏洞之前,可以這樣降低晶片零日漏洞風險

2021-12-16

本文成文於 2019 年,時值英特爾晶片爆發 ZombieLand 漏洞事件;這事件反映出晶片產業漏洞修補時程過長的問題。隨著晶片資安的重要性水漲船高,今日我們依然需要持續檢視相關機制,盡力減少空窗。 當英特爾和資訊安全專家在五月揭露了該公司的早期微晶片存在新的安全漏洞時,同時帶來了一個特別令人不安的警訊:他們花了超過一年的時間才找到其中一個問題的解決辦法。 專家表示,他們在 2018 年 4 月就向英特爾示警這個名為 ZombieLoad 的安全漏洞;然而直到上個月,針對這個漏洞的修補程式才被大量推出。相比之下,軟體公司從一發現漏洞到推出修補程式,時間上不會超過九十天。只要沒解決這個漏洞,時...

Read More

為什麼駭客開始想對晶片下手了?六個原因告訴你

2021-12-02

本文成文於 2017 年,時值英特爾爆出晶片韌體的管理引擎(Intel Management Engine,Intel ME)遭揭露具有安全性漏洞,連帶使得各家電腦廠商受到波及。然而事過境遷,我們對於晶片與韌體資安的態度與做法,與多年前相比並無根本性的改變。這也使得晶片資安始終壟罩著一片揮之不去的陰霾。 硬體、晶片,又或是與它們相關的控制晶片,裡面都有類似軟體的控制指令。這些指令常常都有著明顯的安全漏洞;而相較於軟體,硬體跟晶片更加難以更新。 換句話說,晶片跟硬體只是比較難執行程式修補的軟體。因此,再加上其他讓晶片駭侵行為更加誘人的因素,我們幾乎可以預期,將來會有更多從韌體和硬體層面著手的資安...

Read More
This site is registered on wpml.org as a development site.